انتشار REMnux 7.0، یک توزیع تجزیه و تحلیل بدافزار

پنج سال از انتشار آخرین شماره شکل گرفت نسخه جدید توزیع تخصصی لینوکس REM nux 7.0، برای مطالعه و مهندسی معکوس کدهای بدافزار طراحی شده است. در طول فرآیند تجزیه و تحلیل، REMnux به شما امکان می دهد یک محیط آزمایشگاهی ایزوله ارائه دهید که در آن می توانید عملکرد یک سرویس شبکه خاص تحت حمله را برای مطالعه رفتار بدافزار در شرایط نزدیک به شرایط واقعی شبیه سازی کنید. یکی دیگر از زمینه های کاربردی REMnux، مطالعه ویژگی های درج های مخرب در وب سایت های پیاده سازی شده در جاوا اسکریپت است.

توزیع بر اساس بسته اوبونتو 18.04 ساخته شده است و از محیط کاربری LXDE استفاده می کند. فایرفاکس با افزونه NoScript به عنوان یک مرورگر وب ارائه می شود. کیت توزیع شامل مجموعه ای نسبتاً کامل از ابزارها برای تجزیه و تحلیل بدافزار، ابزارهای کمکی برای کد مهندسی معکوس، برنامه هایی برای مطالعه PDF و اسناد اداری اصلاح شده توسط مهاجمان و ابزارهایی برای نظارت بر فعالیت در سیستم است. اندازه تصویر بوت REMnux، برای راه اندازی در داخل سیستم های مجازی سازی، 5.2 گیگابایت است. در نسخه جدید، تمام ابزارهای ارائه شده به روز شده اند، ترکیب توزیع به طور قابل توجهی گسترش یافته است (اندازه تصویر ماشین مجازی دو برابر شده است). لیست ابزارهای پیشنهادی به دسته ها تقسیم می شود.

کیت شامل موارد زیر است ابزارهای:

• تجزیه و تحلیل وب سایت: گردن کلفت, mitmproxy, Network Miner نسخه رایگان, حلقه, وجت, Burp Proxy Free Edition, اتوماتر, pdnstool, تور, tcpexttract, tcpflow, منفعل.py, CapTipper, yaraPcap.py;
• تجزیه و تحلیل ویدیوهای مخرب فلش: xxxswf, ابزارهای SWF, RABCDAsm, extract_swf, از جا در رفتن;
• تجزیه و تحلیل جاوا: جاوا کش IDX تجزیه کننده, JD-GUI Java Decompiler, JAD Java Decompiler, جاواسیست, CFR;
• تجزیه و تحلیل جاوا اسکریپت: دیباگر راینو, ExtractScripts, میمون عنکبوتی, V8, JS Beautifier;
• تجزیه و تحلیل PDF: تجزیه و تحلیل PDF, Pdfobjflow, pdfid, تجزیه کننده pdf, peepdf, اوریگامی, PDF X-RAY Lite, pdftk, swf_mastah, qpdf, pdfResurrect;
• تجزیه و تحلیل اسناد مایکروسافت آفیس: تجزیه کننده اداری, pyOLEScanner.py, oletools, libolecf, اولدامپ, املدامپ, MSGConvert, base64dump.py, یونیکد;
• تجزیه و تحلیل Shellcode: sctest, unicode2hex-escaped, unicode2raw, ناامید کردن-این, shellcode2exe;
• تبدیل مبهم به شکل خوانا (deobfuscation): unXOR, رشته های XOR, ex_pe_xor, XORSearch, brxor.py, xortool, NoMoreXOR, XORBruteForcer, بالبوزارد, نخ دندان
• استخراج داده های رشته ای: strdeobj, pestr, رشته های;
• بازیابی فایل: در درجه نخست, چاقوی کوچک جراحی, فله_استخراج کننده, خردکن;
• نظارت بر فعالیت شبکه: Wireshark, ngrep, تخلیه TCP, tcpick;
• خدمات شبکه: جعلی DNS, Nginx, ایمیل جعلی, هانید, INetSim, IRCd را الهام بگیرید, OpenSSH، پذیرش همه آی پی ها;
• ابزارهای شبکه: beautifulping.sh, set-static-ip, renew-dhcp, نت کت, کلاینت EPIC IRC, stunnel, Just-Metadata;
• کار با مجموعه ای از نمونه های بدافزار: مالتریو, راگ چین, ادم خائن و بدنهاد, ماستیف, پیشاهنگ تراکم;
• تعریف امضا: YaraGenerator, استخراج کننده IOC, خود قانون, ویرایشگر قوانین, تجزیه کننده ioc;
• اسکن: یارا, ClamAV درحال, امتحان کنید, ExifTool, virustotal-submit, Disitool;
• کار با هش: nsrllookup, اتوماتر, شناسه هش, توتالهش, ssdeep, virustotal-search, VirusTotalApi;
• تجزیه و تحلیل بدافزار لینوکس: Sysdig, بازتاب دادن
• جداکننده ها: Vivisect, Udis86, ابجدمپ;
• اشکال زدا: ایوان دیباگر (EDB), دیباگر پروژه گنو (GDB);
• سیستم های ردیابی: تسمه, ردیابی
• تحقیق کردن: رادار 2, پیو, بوکن, m2elf, ELF تجزیه کننده;
• کار با داده های متنی: SciTE, Geany, نیرو;
• کار با تصاویر: فه, ImageMagick;
• کار با فایل های باینری: wxHexEditor, VBinDiff;
• تجزیه و تحلیل تخلیه حافظه: چارچوب نوسانات, یافته ها, AESKeyFinder, RSAKeyFinder, VolDiff, یادآوری کنید, linux_mem_diff_tool;
• تجزیه و تحلیل فایل های PE قابل اجرا UPX, Bytehist, پیشاهنگ تراکم, شناسه بسته, ابجدمپ, Udis86, Vivisect, Signsrch, پیسکنر, ExeScan, enp, پرفریم, پدامپ, بوکن, رمزگشاهای RAT, پیو, readpe.py, استخراج کننده PyInstaller, DC3-MWCP;
• تجزیه و تحلیل بدافزار برای دستگاه های تلفن همراه: اندرووارن, AndroGuard.

منبع: opennet.ru